Киберугроза со стороны квантовых компьютеров стала почти реальной

Похоже, квантовый компьютер, способный взломать шифрование, лежащее в основе безопасности интернета, уже не за горами. Два независимых исследования показали, как близко мир оказался к этой поистине экзистенциальной угрозе.

Оба посвящены решению посредством квантовых вычислений задачи дискретного логарифмирования в группе точек эллиптической кривой (ECDLP). Сложность этой математической задачи сделали ее удобной для защиты данных — отсюда ее широкое применение для обеспечения безопасности интернет-трафика (включая банковские переводы) и практически всех основных криптовалют, включая биткоин.

Обычным компьютерам крайне сложно взломать ECDLP-шифрование, но еще с 1990-х исследователи предполагали, что для квантовых компьютеров это не составит труда. Однако построить достаточно большой квантовый компьютер считалось инженерно невозможным, поэтому такая угроза казалась делом далекого будущего.

За последние годы и теория, и инженерия продвинулись с ошеломляющей скоростью, резко сократив предполагаемые сроки. В части теории исследователи оптимизировали квантовые алгоритмы взлома, уменьшив требуемую вычислительную мощность. Например, в 2019 году лучшая оценка для взлома родственного метода шифрования RSA-2048 составляла 20 миллионов кубитов. В феврале этого года она снизилась до 100 000 кубитов.

Кроме того, в 2019 году самые передовые квантовые компьютеры едва превышали 50 кубитов. Сегодня крупнейшие состоят из более 1000 кубитов, а самый большой массив кубитов (пока не использовавшийся для вычислений) насчитывает 6100.

Два исследования

Долев Блювштайн из стартапа Oratomic и его коллеги полагают, что ECDLP может пасть перед машиной всего из 10 000 кубитов — правда, процесс потребует нескольких лет квантовых вычислений.

В свою очередь, в квантовом подразделении Google подсчитали, что 500 000 кубитов справятся с той же задачей всего за девять минут.

Джастин Дрейк из Ethereum Foundation, сотрудничавший с исследователями Google, назвал оба исследования прорывными, а день их выхода — «знаменательным для квантовых вычислений и криптографии».

Расчеты Блювштайна и его коллег основаны на кубитах из сверхохлажденных атомов, управляемых лазерами. Такие кубиты можно соединять друг с другом множеством способов — отчасти эта высокая взаимосвязанность и объясняет снижение требуемого числа кубитов.

Создать массив из 10 000 сверхохлажденных кубитов, возможно, удастся в течение года, полагает Блювштайн, но настоящая трудность — достаточно хорошо контролировать их и заставить работать достаточно быстро. Простых путей нет, например объединить несколько существующих машин не выйдет, поскольку кубиты должны правильно взаимодействовать друг с другом.

По мнению исследователя, достаточно мощная машина будет готова не раньше конца десятилетия. «Предстоит еще много работы, но люди уже начинают воспринимать ее создание как нечто реальное», — полагает он.

Оценка команды Google базируется на другом типе квантового компьютера — на сверхпроводящих цепях. Эта технология считается более зрелой, и именно на нее интернет-гигант делает основную ставку. Причем эту оценку, как написано в статье, «можно существенно снизить при более смелых предположениях о возможностях оборудования». К слову, подробности алгоритма взлома там не раскрыты из соображений безопасности. Однако указано, что такой квантовый компьютер можно было бы использовать для перехвата криптовалютной транзакции и перенаправления средств в тот краткий миг, пока она еще не записана в блокчейн.

Как быть

Оба типа квантовых компьютеров такой мощности, особенно на сверхохлажденных атомах, слишком сложны в постройке, чтобы говорить о практической реализации описанных в статьях задач, считает Стефано Годжозо из Оксфордского университета. Но повод для беспокойства о безопасности нашего цифрового мира, по его мнению, действительно есть.

Некоторые интернет-браузеры уже предлагают постквантовое шифрование, невосприимчивое к квантовым атакам (PQC). Традиционные банки, возможно, смогут отразить атаку квантовых хакеров после того, как их взломают, но децентрализованные системы криптовалют окажутся гораздо более уязвимыми, говорит Годжозо. Недавно Google призвал перейти на PQC к 2029 году — эксперт убежден, что это все более необходимо.

«Именно поэтому мы запустили проект по стандартизации PQC более десяти лет назад. Мы всегда знали: по мере совершенствования квантового оборудования будут совершенствоваться и алгоритмы», — подчеркивает Дастин Муди из Национального института стандартов и технологий (NIST).

NIST уже отобрал несколько PQC-алгоритмов, которые могут стать стандартом безопасности в будущем. Федеральное правительство США планирует перейти на них к 2035 году. Но Муди уверен, что о начинать переход нужно как можно скорее. «Эти статьи лишь подтверждают: время для перехода ограничено, и действовать нужно сейчас», — заключает он.